2. 脆 弱 性 により 引 き 起 こされた 被 害 ~ 被 害 事 例 のケーススタディ ~ 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) セキュリティセンター 情 報 セキュリィ 技 術 ラボラトリー 2010 年 8 月 6 日 公 開
目 次 1. 被 害 事 例 に 基 づくケーススタディ 2. ケーススタディ(A) ショッピングサイトAへのSQLインジェクション 攻 撃 3. ケーススタディ(B) レンタルサーバBへのOSコマンド インジェクション 攻 撃 4. 攻 撃 事 例 のケーススタディ JVN ipediaへの 攻 撃 事 例 5. まとめ 1
被 害 事 例 に 基 づくケーススタディ 2
相 次 ぐウェブサイトにおける 事 件 日 々 報 道 されるウェブサイトにおける 事 件 企 業 のウェブサイトにおける 医 療 系 企 業 のウェブサイト 地 方 自 治 体 のウェブサイト ショッピングサイトにおける アウトドア 用 品 販 売 サイト PC ソフト 販 売 サイト オンラインゲームにおける 事 件 の 原 因 の1つ ウェブアプリケーションの 脆 弱 性 改 ざん 個 人 情 報 の 漏 えい 不 正 アクセス 3
脆 弱 性 の 届 出 状 況 脆 弱 性 のあるウェブサイトの 存 在 届 出 されるウェブサイトは 氷 山 の 一 角 四 半 期 件 数 1,400 1,200 1,000 800 600 400 200 0 ソフトウェア 製 品 1,430 4,315 4,701 4,832 4,959 5,098 ウェブサイト ソフトウェア 製 品 ( 累 計 ) 3,514 ウェブサイト( 累 計 ) 801 2,084 1,575 509 386 845 940 1,043 1,1231,367 465 511 560 626 678 747 801 861 912 955 994 1,018 1,050 131 127 139 37 46 49 66 52 69 54 60 51 43 39 24 32 96 95 103 80 244 208 1Q 2007 2Q 3Q 4Q 1Q 2008 2Q 3Q 4Q 1Q 2009 2Q 3Q 4Q 1Q 2010 図 1. 脆 弱 性 関 連 情 報 の 届 出 件 数 の 四 半 期 別 推 移 5,000 4,000 3,000 2,000 1,000 0 4 累 計 件 数
脆 弱 性 により 引 き 起 こされた 被 害 脆 弱 性 が 悪 用 されると 改 ざん 個 人 情 報 の 漏 えい 不 正 アクセス こういった 被 害 はすでに 報 道 等 で 聞 いたことがある いつも 同 じこと 言 われているから 全 然 怖 く ない うちで 起 こることはないだろうし レンタルサーバを 使 っているから レンタル サーバ 会 社 にまかせれば 大 丈 夫 実 際 に 自 社 のウェブサイトで 事 件 が 起 こったら 何 が 起 きるのか? 5
被 害 事 例 に 基 づくケーススタディ 被 害 事 例 に 基 づく2つのケーススタディ ケーススタディ(A): ショッピングサイト A への SQLインジェクション 攻 撃 ケーススタディ(B): レンタルサーバ B への OSコマンド インジェクション 攻 撃 6
ケーススタディ(A): ショッピングサイトAへの SQLインジェクション 攻 撃 7
ケーススタディ(A): ショッピングサイトA < 概 要 > ショッピングサイトA 株 式 会 社 が 運 営 するショッピングサイト 10 万 人 以 上 の 個 人 情 報 を 保 持 自 社 開 発 のウェブアプリケーション セキュリティ 対 策 の 実 施 ファイアウォールの 導 入 脆 弱 性 診 断 ツールの 実 施 8
ケーススタディ(A): ショッピングサイトA < 事 件 > SQLインジェクション 攻 撃 による 被 害 改 ざん 個 人 情 報 の 漏 えい 生 活 用 品 のインターネット 通 販 を 展 開 する 株 式 会 社 が 運 営 するショッピングサイトAが 不 正 アクセ スに 遭 い 個 人 情 報 の 漏 えい 事 件 が 発 生 した 株 式 会 社 は 同 社 が 保 持 するクレジット カード 情 報 を 含 む 最 大 10 万 件 の 個 人 情 報 が 漏 えいした 事 実 を 確 認 した 同 社 は 事 件 の 原 因 およびクレジットカード 情 報 の 不 正 利 用 がないか 調 査 を 継 続 中 と 発 表 している 9
参 考 SQLインジェクションの 脆 弱 性 SQLインジェクションの 脆 弱 性 発 生 しうる 脅 威 データベース(*)に 蓄 積 された 非 公 開 情 報 の 閲 覧 データベースに 蓄 積 された 情 報 の 改 ざん 消 去 悪 意 のある 人 ウェブサイト 情 報 漏 えい 改 ざん データ ベース (*) データベース: 関 連 し 合 うデータを 収 集 整 理 して 検 索 や 更 新 を 効 率 化 したファイル 10
ケーススタディ(A): ショッピングサイトA < 被 害 > ウェブサイトはどんな 被 害 を 受 けたのか 営 業 停 止 期 間 の 機 会 損 失 賠 償 用 買 い 物 ポイント 500 円 分 / 人 x 10 万 人 = 5,000 万 円 相 当 詫 び 状 送 付 関 連 費 用 調 査 人 件 費 被 害 者 対 応 人 件 費 ( 失 った 顧 客 信 用 ) これらの 被 害 をもう 少 し 掘 り 下 げてみよう 11
ケーススタディ(A): ショッピングサイトA < 考 察 > 株 式 会 社 代 表 取 締 役 の 視 点 顧 客 にどう 説 明 するか クレジットカード 会 社 に 補 償 に 関 して 相 談 しないと 刑 事 事 件 として 届 出 でるか 営 業 停 止 期 間 の 機 会 損 失 賠 償 用 買 い 物 ポイント 詫 び 状 送 付 関 連 費 用 調 査 人 件 費 被 害 者 対 応 人 件 費 12
ケーススタディ(A): ショッピングサイトA < 考 察 > ショッピングサイトA 運 営 者 の 視 点 新 しい 販 促 キャンペーンの 検 討 しなきゃいけないのに 休 日 を 含 む 連 日 連 夜 の 徹 夜 作 業 突 発 的 なウェブサイト 再 構 築 度 重 なる 顧 客 からの 問 い 合 わせ 関 係 組 織 との 打 ち 合 わせ 突 発 的 な 作 業 にともなう2 次 トラブル お 詫 びメールの 誤 送 信 13
ケーススタディ(A): ショッピングサイトA < 考 察 > このケーススタディから 学 ぶこと 脆 弱 性 が 悪 用 されると 14
ケーススタディ(A): ショッピングサイトA < 勘 どころ> このケーススタディの 勘 どころ 15
ケーススタディ(B): レンタルサーバBへの OSコマンド インジェクション 攻 撃 16
ケーススタディ(B): レンタルサーバB < 概 要 > レンタルサーバB 株 式 会 社 が 運 営 しているレンタルサーバB 利 用 者 にウェブサイトスペースを 提 供 1 万 以 上 のウェブサイトを 収 納 ウェブアプリケーションを 標 準 でインストール 済 み ディスク 容 量 に 応 じた 料 金 プラン 10GB: 1,000 円 20GB: 2,000 円 30GB:3,000 円 17
ケーススタディ(B): レンタルサーバB < 概 要 > レンタルサーバB 標 準 でインストール 済 みのウェブアプリケーション データベース 日 記 ソフト 掲 示 板 問 い 合 わせフォーム 18
ケーススタディ(B): レンタルサーバB < 事 件 > OSコマンド インジェクション 攻 撃 による 被 害 改 ざん 株 式 会 社 が 提 供 しているレンタルサーバBが 不 正 アクセスに 遭 い レンタルサーバBの200 以 上 のウェブサイトのトップページが 改 ざんされた 株 式 会 社 のプレスリリースによると この 不 正 アク セスには 同 社 のレンタルサービスで 提 供 しているウェ ブアプリケーション( 問 い 合 わせフォーム) の 脆 弱 性 が 悪 用 された 現 在 同 社 はレンタルサー バBからこのウェブアプリケーションを 削 除 し レンタル サービス 利 用 者 にも 削 除 するよう 連 絡 している 19
ケーススタディ(B): レンタルサーバB < 事 件 > OSコマンド インジェクション 攻 撃 による 200 以 上 のウェブサイト 改 ざん 悪 意 のある 人 レンタルサーバB ウェブサイトA 改 ざん ウェブサイトB ウェブサイトC 改 ざん 問 い 合 わせフォームのOS コマンド インジェクション の 脆 弱 性 が 悪 用 された 改 ざん ウェブサイトのトップ ページが 改 ざん 20
参 考 OSコマンド インジェクションの 脆 弱 性 OSコマンド インジェクションの 脆 弱 性 発 生 しうる 脅 威 サーバ 内 ファイルの 閲 覧 改 ざん 削 除 システム 操 作 悪 意 のある 人 ウェブサイト 改 ざん 情 報 漏 えい シェル(*) システム 不 正 操 作 (*) シェル: ユーザから 入 力 された 文 字 列 を 解 釈 し 他 のプログラムの 起 動 や 制 御 を 行 うプログラム 21
ケーススタディ(B): レンタルサーバB < 被 害 > ウェブサイトはどんな 被 害 を 受 けたのか 調 査 人 件 費 被 害 者 対 応 人 件 費 レンタルサーバ 構 成 変 更 人 件 費 コンテンツ 復 旧 対 応 人 件 費 誰 が これらの 被 害 を 受 けたのか? 22
ケーススタディ(B): レンタルサーバB < 考 察 > レンタルサーバB 利 用 者 の 視 点 調 査 人 件 費 用 被 害 者 対 応 人 件 費 用 レンタルサーバ 構 成 変 更 人 件 費 用 コンテンツ 復 旧 対 応 人 件 費 用 私 たちでは 脆 弱 なウェブアプリケー ションを 修 正 できない コンテンツ 復 旧 対 応 人 件 費 用 改 ざんされたトップページの 更 新 他 のコンテンツの 更 新 23
ケーススタディ(B): レンタルサーバB < 考 察 > レンタルサーバB 提 供 者 の 視 点 調 査 人 件 費 用 被 害 者 対 応 人 件 費 用 レンタルサーバ 構 成 変 更 人 件 費 用 コンテンツ 復 旧 対 応 人 件 費 用 調 査 人 件 費 用 被 害 者 対 応 人 件 費 用 レンタルサーバ 構 成 変 更 人 件 費 用 脆 弱 なウェブアプリケーションの 削 除 標 準 インストールウェブアプリケーションの 見 直 し 24
ケーススタディ(B): レンタルサーバB < 考 察 > このような 被 害 はレンタルサーバに 限 らない ASPサービス クラウドコンピューティング Software as a service(saas) Platform as a service(pass) Infrastructure as a service(iass) 25
ケーススタディ(B): レンタルサーバB < 考 察 > このケーススタディから 学 ぶこと 26
ケーススタディ(B): レンタルサーバB < 勘 どころ> このケーススタディの 勘 どころ 27
参 考 IPAに 寄 せられたウェブサイト 運 営 者 の 声 脆 弱 性 を 修 正 しようにも ASPサービスの 部 分 の 脆 弱 性 だから 私 たちでは 修 正 できな いんです レンタルサーバ 提 供 事 業 者 に 脆 弱 性 の 修 正 を 相 談 しているんですが なかなか 対 応 し てもらえないんです 28
攻 撃 事 例 のケーススタディ JVN ipediaへの 攻 撃 事 例 29
攻 撃 事 例 のケーススタディ 脆 弱 性 対 策 を 行 っていれば ケーススタディの 基 にした 事 件 は 起 こらなかった だけど 狙 われるウェブサイトは 限 られているんじゃな いの?それなら 脆 弱 性 対 策 しなくてもいいん じゃないか? 脆 弱 性 対 策 をやっていれば 攻 撃 の 被 害 に 遭 わな いの? 実 際 のウェブサイトへの 攻 撃 事 例 を 見 てみよう 30
JVN ipediaへの 攻 撃 事 例 2009 年 1 月 ~2010 年 3 月 ウェブサイトを 狙 った 攻 撃 があったと 思 われる 件 数 攻 撃 があったと 思 われる 件 数 : 平 均 14.7 件 / 日 攻 撃 が 成 功 した 可 能 性 の 高 い 件 数 :0 件 ( 件 ) SQLインジェクションの 脆 弱 性 を 狙 った 攻 撃 は 全 体 の46% 2009 年 2010 年 31
JVN ipediaへの 攻 撃 事 例 2010 年 2 月 ilogscanner 解 析 結 果 32
JVN ipediaへの 攻 撃 事 例 SQLインジェクション 攻 撃 事 例 (1) SQLインジェクション 攻 撃 の 調 査 行 為 xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:23 +0900] "GET /search/index.php?mo de=_vulnerability_search_ia_vulnsearch&lang=en&usesynonym=1&keyword =CVE-YYYY-NNNN'%20and%20char(124)%2Buser%2Bchar(124)=0%20an d%20''=' HTTP/1.1" 200 44500 "-" "Internet Explorer 6.0 xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:35 +0900] "GET /search/index.php?mo de=_vulnerability_search_ia_vulnsearch&lang=en&usesynonym=1&keyword =CVE-YYYY-NNNN'%20and%201=1%20and%20''=' HTTP/1.1" 200 44477 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" SQL 文 として 意 味 を 持 つ 文 字 列 を 入 力 してくる ウェブブラウザからアクセスに 偽 装 してくる 33
JVN ipediaへの 攻 撃 事 例 SQLインジェクション 攻 撃 事 例 (2) オープンソースソフトウェアの 脆 弱 性 を 悪 用 する 攻 撃 yyy.yyy.yyy.yyy - - [14/Feb/2010:06:04:14 +0900] "GET //index2.php?option=c om_joomradio&page=show_radio&id=-1+union+select+1,concat_ws(usernam e,0x3a,password),3,4,5,6,7+from+jos_users-- HTTP/1.1" 404 208 "-" "libwwwperl/5.812" zzz.zzz.zzz.zzz - - [20/Feb/2010:16:42:00 +0900] "GET /ja/contents/2008/jvn DB-2008-002127.html//index.php?option=com_idoblog&task=profile&Itemid=1 337&userid=62+union+select+1,concat_ws(0x3a,username,password),3,4,5,6, 7,8,9,10,11,12,13,14,15,16+from+jos_users-- HTTP/1.1" 404 248 "-" "libwww-p erl/5.803 コンテンツ 管 理 システム Joomla の 脆 弱 性 を 狙 っている 34
JVN ipediaへの 攻 撃 事 例 < 考 察 > 確 認 できたSQLインジェクション 攻 撃 (1). SQLインジェクション 攻 撃 の 調 査 行 為 (2). オープンソースソフトウェアの 脆 弱 性 を 悪 用 する 攻 撃 (1). の 対 策 :SQLインジェクションの 脆 弱 性 を 作 り 込 まない (2). の 対 策 : 最 新 バージョンのソフトウェアを 使 用 する 35
JVN ipediaへの 攻 撃 事 例 < 勘 どころ> このケーススタディの 勘 どころ 36
参 考 古 いバージョンを 使 用 しているサイトへの 注 意 喚 起 計 49サイトにおける 届 出 があった 計 88サイトにおける 届 出 があった 出 典 元 : http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html http://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.html 37
まとめ 38
まとめ 本 業 に 専 念 するために 脆 弱 性 対 策 をしよう ウェブサイトにおける 事 件 が 起 こったら 経 営 者 ウェブサイト 運 営 者 現 場 のエンジニア 全 員 に 本 業 以 外 の 過 度 の 作 業 が 生 じる ウェブサービスを 提 供 している 立 場 であると 多 くのウェ ブサービス 利 用 者 に 被 害 を 与 えてしまう 脆 弱 性 対 策 ができていれば ウェブサイトを 多 くの 攻 撃 から 防 御 できる 39